地下市場提供各種各樣的服務(wù)供網(wǎng)絡(luò)罪犯從中獲利

[[174280]]

地下市場

這些論壇提供的貨品種類簡直包羅萬象，從物理世界的商品，比如毒品、武器，到數(shù)字世界的服務(wù)，比如垃圾郵件/網(wǎng)絡(luò)釣魚郵件投放、漏洞利用工具包服務(wù)、“加殼器”、“捆綁器”、定制惡意軟件開發(fā)、零日漏洞利用、防彈主機托管。

地下世界充斥各種外人聽不懂的行話和俚語。加殼器，就是加密惡意軟件以規(guī)避反病毒引擎檢測的工具。捆綁器，是在合法程序中綁入惡意軟件樣本的工具。零日漏洞利用，是利用未打補丁漏洞的技術(shù)，攻擊者用以獲取對計算系統(tǒng)的非授權(quán)訪問。“FUD”在正常安全世界意味著“恐懼、不確定、懷疑”，在地下論壇世界則是“完全不可檢測”。這些論壇上還有所謂的“開膛手”，就是欺騙其他用戶，不提供有用服務(wù)或貨品，拿了錢就跑的騙子。

魯伊斯·曼迪艾塔，Anomali高級安全研究員，對常見地下市場進行了分析調(diào)查。

Sky-Fraud論壇

Sky-Fraud是2014年便開始運營的俄羅斯地下論壇。其用戶群包含26000名活躍用戶，英俄雙語。其上提供的服務(wù)種類豐富，下列服務(wù)均可在Sky-Fraud上找到：

• 第三方履約保證服務(wù)
• 防彈主機托管服務(wù)
• 個人可識別信息(PII)和信用卡(CC)數(shù)據(jù)
• 僵尸網(wǎng)絡(luò)、漏洞利用程序、惡意軟件
• 黑帽搜索引擎優(yōu)化(SEO)和網(wǎng)頁設(shè)計
• 支付系統(tǒng)：比特幣(BTC)、貝寶(Paypal)、Webmoney、歐貝通(Entropay)

論壇注冊系統(tǒng)對所有人開放，讓騙子、名聲不好的成員、執(zhí)法機構(gòu)和安全研究人員都能輕松訪問。鑒于網(wǎng)站上活躍著太多業(yè)余黑客，其上數(shù)據(jù)似乎可信度不高。但是，一位與防彈主機托管有關(guān)的重量級人物在這個論壇上經(jīng)營有他的“事業(yè)”。沃哈夫(Volhav)不僅僅在這個論壇活動，后面介紹的地下論壇中也有他的身影。由于注冊時間是2016年初，可能他是在嘗試不同論壇以擴展服務(wù)范圍吧。不過，他在這上面的活動僅有兩條。

Lampeduza論壇

專精于賬戶信息非法交易、轉(zhuǎn)儲服務(wù)和全套信用卡詐騙的俄羅斯地下論壇。有幾個部分也專門服務(wù)于黑客攻擊、匿名化操作、垃圾郵件投放和黑帽SEO。因為論壇成員之一的rescator涉嫌售賣分發(fā)塔吉特被泄數(shù)據(jù)，安全博主克雷布斯在2013年也談?wù)撨^Lampeduza。另外，該網(wǎng)站似乎與臭名昭著的販卡論壇rescator.cm關(guān)系頗深。rescator.cm就是塔吉特、家得寶和莎莉美容數(shù)據(jù)泄露事件中信用卡數(shù)據(jù)出售的場所。

Lampeduza市場的訪問略有限制。注冊者需先從老用戶那里獲得邀請碼，然后還要支付50美元。這讓網(wǎng)站相對排外，更少被別的站點浸染。然而，潛在買家依然要面對仔細甄別供貨商優(yōu)劣的挑戰(zhàn)。幸運的是，該網(wǎng)站提供信譽系統(tǒng)，用戶可以提起投訴，必要的時候會對賣家采取行動。這是很多匿名市場的常見功能了。

這個市場上提供的數(shù)據(jù)應(yīng)該在中等價值。大型零售商被泄數(shù)據(jù)也會在這個論壇上出售。

Exploit.in論壇

Exploit.in是俄語黑客論壇，模仿LeakForums和HackForums之類其他黑客論壇的經(jīng)營方式。該論壇2007年上線，總用戶數(shù)35000。作為論壇一部分的成員，在注冊前需經(jīng)受審查，并要求一名現(xiàn)有成員做擔(dān)保。某些不討論犯罪活動的區(qū)域也對公眾開放。

這些區(qū)域包括網(wǎng)頁設(shè)計、編程和硬件方面的話題。其他部分，比如安全和黑客、病毒學(xué)、匿名性和市場，則需要有效用戶賬戶才可以訪問。該論壇出售的服務(wù)包括：

• 賬戶信息交易服務(wù)
• 防彈主機托管
• 惡意軟件投放服務(wù)
• 零日軟件漏洞
• 惡意軟件
• 漏洞利用工具包
• 木馬
• 加殼器

這個市場的價值，就在于其用戶間高度聯(lián)通的關(guān)系。很多真實用戶在別的論壇上都有多種身份資料。而這個論壇，通過閉合的注冊過程，避免了像HackForums和LeakForums一樣被虛假賬戶污染。

LeakForums論壇

2011年在黑客界嶄露頭角。其當(dāng)前用戶群高達100萬。LeakForums專注于與PII、社交媒體賬戶相關(guān)的泄露，以及付費黑客工具的交易(鍵盤記錄器、遠程訪問工具、加殼器、捆綁器)。廣為流傳的惡意軟件，比如Njrat、Adwind和Orcus等，也對注冊用戶免費開放。其他泄露類別包括：

• 商業(yè)軟件序列號(微軟Windows、Office、反病毒引擎)
• 被盜憑證(社交媒體賬戶)
• 被黑數(shù)據(jù)庫(流服務(wù)數(shù)據(jù)庫泄露)
• 著名木馬破解版(Njrat、Adwind、Orcus)

該市場上的數(shù)據(jù)質(zhì)量非常之低。有太多的不入流罪犯試圖賺取名氣，但出售的卻是很低級的工具。該站點也缺乏像Alphabay和TheRealDeal之類成熟市場的信譽系統(tǒng)。這讓潛在買家更難以信任這里的商家。該市場是很多泄露數(shù)據(jù)的初始來源，也可以獲得著名惡意軟件的拷貝以擴展檢測能力。除此之外，該網(wǎng)站乏善可陳。

HackForums論壇

互聯(lián)網(wǎng)上運營時間最久的黑客論壇。成立于2006年，用戶總數(shù)約為600000人。該論壇囊括信息安全界多個主題：黑客行為、編程、電腦游戲、網(wǎng)頁設(shè)計、網(wǎng)頁開發(fā)，當(dāng)然，還有黑客工具和服務(wù)的售賣。HackForums因吸納了大量業(yè)余黑客而為人所不齒。一些技術(shù)稍高的罪犯也會在上面提供以下服務(wù)：

• 應(yīng)激物服務(wù)(如：DDoS程序)
• 遠程訪問工具
• 被盜社交媒體賬戶
• 加殼器
• 虛擬專用服務(wù)器(VPS)、虛擬專用網(wǎng)(VPN)和主機托管服務(wù)

HackForums今年因MalwareHunterTeam發(fā)現(xiàn)有黑客行動源自該論壇而備受關(guān)注。該行動使用了ORCUS RAT。克雷布斯也發(fā)表了一篇博文揭示該惡意軟件背后的作者。HackForums上數(shù)據(jù)的質(zhì)量同樣很低。與LeakForums類似，這可能跟信譽系統(tǒng)和準(zhǔn)入制度的缺乏有關(guān)。只要點擊域名，任何人都可以注冊賬戶，對整個論壇擁有長久訪問。

TheRealDeal市場

TheRealDeal是以零日漏洞利用起家的暗網(wǎng)市場。隨后，隨著該市場逐漸聲名鵲起，提供的服務(wù)也開始更多元了。以下商品目前都可在該市場找到：

• 武器
• 假證(支票、護照、駕照)
• 被盜信用卡數(shù)據(jù)
• 被黑數(shù)據(jù)庫
• 禁藥
• 漏洞利用程序
• 反病毒引擎完全不可檢測的惡意軟件、一日漏洞(漏洞被公開，但尚未有補丁)、零日漏洞(漏洞尚未被公開)

2016年，該市場在一系列高曝光率的數(shù)據(jù)泄露后吸引了公眾注意。被泄數(shù)據(jù)涉及很多著名企業(yè)。提供這些數(shù)據(jù)的，是該論壇一名自稱“內(nèi)心寧靜(Peace of Mind)”的用戶。該市場里的服務(wù)質(zhì)量良莠不齊。賣家信譽可由其級別和資料中顯示的客戶反饋來確定。因此，潛在客戶需要花更多精力進行鑒別。該市場還提供多重簽名交易方法以增加安全性。不好的方面之一，是注冊的簡單性。沒有要求任何的審核。很多名聲不好的成員、安全研究人員或執(zhí)法人員，也是該市場的一部分。除了市場，TheRealDeal還有一個更為嚴(yán)格的論壇。該論壇上的非法活動叫賣更兇，但很多都難以驗證。

AlphaBay市場

2014年開張的新生論壇。自成立以來，因其基于Tor匿名網(wǎng)絡(luò)的特性，該市場成長迅速。目前，該論壇有240000名用戶，覆蓋服務(wù)范圍包括：

• 數(shù)據(jù)泄露、銀行滲漏、信用卡認證值(由卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)和信用卡數(shù)據(jù)
• 違禁藥品
• 武器
• 假證
• 非法活動斂財教程
• 惡意軟件：漏洞利用程序、漏洞利用工具包、僵尸網(wǎng)絡(luò)

商品質(zhì)量參差不齊。潛在買家必須自己確保賣家等級和信譽度。在AlphaBay，擁有10級信譽的5級賣家可被認為是品質(zhì)保證。除此之外，賣家還得查看評論區(qū)，看是否有投訴。AlphaBay通過多重簽名交易方法，以及雙因子身份驗證登錄方式，確保交易是安全且無縫進行的。AlphaBay還提供數(shù)字合約系統(tǒng)，利用用戶信譽系統(tǒng)減少交易風(fēng)險。每份合約收取5美元管理費。合約內(nèi)容任由用戶填寫。數(shù)字合約本身并不能消除詐騙，但確實有助于建立成員間互信。AlphaBay有個奇怪的地方：允許用戶通過API以編程的方式進入市場。